摘要

微软已意识到并积极应对2022年10月25日公布的OpenSSL漏洞（已在3.0.7版本中修复）带来的影响。作为标准流程的一部分，我们正在为受影响的服务推出修复程序。任何需要客户采取的操作将在本博客及相关安全更新指南（CVE-2022-3786安全更新指南和CVE-2022-3602安全更新指南）中突出显示。作为最佳实践，鼓励管理自己环境的客户应用OpenSSL的最新安全更新。强烈建议客户查看安全更新指南，以审查可能需要采取的任何操作。

OpenSSL 3.0.7版本于2022年11月1日普遍可用，OpenSSL将CVE-2022-3602的严重性评级从严重降级为高。OpenSSL 3.0.7解决了两个漏洞（CVE-2022-3786和CVE-2022-3602），这些漏洞对执行证书验证的系统具有拒绝服务影响。攻击者可以向解析证书作为身份验证一部分的客户端或服务器发送恶意制作的证书，导致崩溃。目前，该漏洞似乎无法可靠地允许远程代码执行，并且尚未发现受到攻击。

分析

拒绝服务（DoS）漏洞源于一对缓冲区溢出，这些溢出可以在OpenSSL进行X.509证书验证时的名称约束检查中触发。缓冲区溢出发生在证书链验证之后，需要证书颁发机构签署恶意证书（这并非不可能），或者应用程序在无法构建到受信任颁发者的证书链的情况下继续证书验证。

要利用这些漏洞，攻击者可以在X.509证书中制作恶意电子邮件地址，导致堆栈溢出。这可能导致崩溃并引起拒绝服务。

这影响TLS客户端和服务器。对于客户端，漏洞可以通过连接到恶意服务器来触发。对于服务器，如果服务器请求客户端证书身份验证，并且配置了恶意证书的客户端连接到服务器，则可以触发漏洞。

缓解措施

唯一已知的缓解措施是升级到OpenSSL 3.0.7版本。

微软正在采取行动更新其使用受影响OpenSSL 3.0至3.0.6版本的产品和服务。

我们鼓励使用受影响OpenSSL版本的客户升级到OpenSSL 3.0.7版本。请参阅微软安全更新指南（CVE-2022-3786安全更新指南和CVE-2022-3602安全更新指南），了解依赖OpenSSL 3.0至3.0.6版本的微软产品和服务列表，客户需要采取行动进行更新。

客户可以使用Microsoft Defender漏洞管理，通过导航到本报告的“端点暴露”选项卡来跟踪其暴露和修补状态。

微软安全产品指南

Microsoft Defender for Cloud有两个可用功能，可快速确定您的环境是否易受攻击，并帮助优先处理本博客中概述的操作。

Microsoft Defender漏洞管理使客户能够跟踪运行易受攻击OpenSSL版本的端点上的暴露和修补状态。本博客概述了客户可以采取的步骤，以识别易受攻击的资产并对其进行修补。

Microsoft Defender for Endpoint客户可以在Microsoft 365 Defender门户中使用威胁分析，了解威胁环境的最新情况，并获得在Microsoft Defender漏洞管理中发现易受攻击资产的指导。

Microsoft Defender外部攻击面管理持续发现并映射您的数字攻击面，以提供在线基础设施的外部视图。通过利用漏洞和基础设施数据生成攻击面洞察，展示您组织关注的关键领域。已发布高严重性洞察，以在攻击面中显示具有OpenSSL 3.0至3.0.6版本的资产。请注意，我们的检测通过读取HTTP头在网站上效果很好，但其他远程协议不会公布其OpenSSL版本。由于这种有限的可见性，我们强烈建议登录每个面向互联网的系统并运行“openssl version”以确定修补级别。大多数Linux发行版尚未切换到OpenSSL 3，因此不易受攻击。